ansible-lockdown.ubuntu20_cis
Ubuntu 20 CIS
Skonfiguruj maszynę Ubuntu 20, aby była zgodna z CIS
Oparta na benchmarku CIS Ubuntu Linux 20.04 LTS v2.0.1 Wydanie
Szukasz wsparcia?
Społeczność
Na naszym serwerze Discord możesz zadawać pytania, omawiać funkcje lub po prostu porozmawiać z innymi użytkownikami Ansible-Lockdown.
Ostrzeżenia
Ta rola wprowadzi zmiany w systemie, które mogą spowodować problemy. To nie jest narzędzie audytowe, lecz narzędzie do naprawy, które należy używać po przeprowadzeniu audytu.
Ta rola została opracowana na czystej instalacji systemu operacyjnego. Jeśli wprowadzasz ją do istniejącego systemu, zapoznaj się z rolą, aby sprawdzić, jakie zmiany są potrzebne.
Dokumentacja
- Przeczytaj dokumentację
- Jak zacząć
- Dostosowywanie ról
- Konfiguracja na poziomie hosta
- Jak najlepiej wykorzystać rolę
Wymagania
Ogólne:
- Podstawowa wiedza o Ansible. Poniżej kilka linków do dokumentacji Ansible, które pomogą Ci zacząć, jeśli nie jesteś obeznany z Ansible:
- Działający Ansible i/lub Tower, skonfigurowany i uruchomiony. Obejmuje to wszystkie podstawowe konfiguracje Ansible/Tower, zainstalowane niezbędne pakiety oraz skonfigurowaną infrastrukturę.
- Zapoznaj się z zadaniami w tej roli, aby zrozumieć, co robi każda kontrola. Niektóre zadania mogą być uciążliwe i mogą mieć niezamierzone konsekwencje w działającym systemie produkcyjnym. Również zapoznaj się z zmiennymi w pliku defaults/main.yml.
Zależności techniczne:
- Działający setup Ansible/Tower (ta rola jest testowana na wersji Ansible 2.9.1 i nowszych).
- Środowisko uruchomieniowe Ansible na Pythonie 3.
Audyt (nowość)
Może być włączane lub wyłączane w pliku defaults/main.yml za pomocą zmiennej run_audit. Domyślną wartością jest false. Proszę zapoznać się z wiki w celu uzyskania szczegółowych informacji.
To znacznie szybsze, bardzo lekkie sprawdzanie (gdzie to możliwe) zgodności konfiguracji oraz ustawień uruchomionych.
Nowa forma audytu została opracowana przy użyciu małego (12MB) pliku binarnego go o nazwie goss wraz z odpowiednimi konfiguracjami do sprawdzenia. Nie wymaga infrastruktury ani innych narzędzi. Ten audyt nie tylko sprawdzi, czy ustawienia są poprawne, ale także dąży do uchwycenia, czy działa z tą konfiguracją, próbując również wyeliminować fałszywe pozytywy w tym procesie.
Zapoznaj się z UBUNTU20-CIS-Audit.
Dalszą dokumentację audytową można znaleźć na Przeczytaj dokumentację
Zmienne roli
Ta rola została zaprojektowana tak, aby użytkownik końcowy nie musiał edytować samych zadań. Wszystkie dostosowania powinny być dokonywane za pośrednictwem pliku defaults/main.yml lub z dodatkowymi zmiennymi w projekcie, zleceniu, workflow itp.
Gałęzie
- devel - To domyślna gałąź i robocza gałąź dewelopujących. Prośby o połączenie od społeczności będą trafiały do tej gałęzi.
- main - To gałąź wydania.
- reports - To zabezpieczona gałąź dla naszych raportów score, nie powinno tu nigdy być kodu.
- gh-pages - To gałąź stron githuba.
- wszystkie inne gałęzie - Indywidualne gałęzie członków społeczności.
Wkład społeczności
Zachęcamy Cię (społeczność) do wnoszenia wkładu w tę rolę. Proszę zapoznać się z zasadami poniżej.
- Prace wykonujesz w swojej własnej indywidualnej gałęzi. Upewnij się, że wszystkie commity są podpisane i mają podpis GPG przed połączeniem.
- Wszystkie prośby o połączenie z społeczności trafiają do gałęzi dewelopera.
- Prośby o połączenie do gałęzi dewelopera potwierdzą, że Twoje commity mają podpis GPG, są podpisane i przeszły test funkcjonalny przed zatwierdzeniem.
- Po scaleniu Twoich zmian i dokonaniu dokładniejszej oceny, upoważniony członek połączy Twoje zmiany z gałęzią główną w celu wydania nowej wersji.
Testowanie pipeline
używa:
- ansible-core 2.12
- zbiorów ansible - pobiera najnowszą wersję w oparciu o plik wymagań
- uruchamia audyt przy użyciu gałęzi dewelopera
- To jest automatyczny test, który odbywa się przy próbach połączenia z gałęzią dewelopera.
Dodatkowe informacje
- pre-commit można testować i uruchamiać z poziomu katalogu
pre-commit run
Apply the Ubuntu 20 CIS benmarks
ansible-galaxy install ansible-lockdown.ubuntu20_cis